外注したシステムの脆弱性は誰のせい? 連日の「深刻な脆弱性」にどう向き合い、どう対応するか?(4/4 ページ)
連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか? @ITは、2017年8月30日にセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』を東京で開催した。多数の専門家やセキュリティベンダーが登壇した同セミナーの模様をお届けしよう。
脆弱性管理、“やってるつもり”が一番危ない?――カスペルスキー
「パッチが適用されていないという事実を、攻撃者はよく知っている。だから同じ脆弱性も繰り返し利用できる」。カスペルスキーの関場哲也氏はそう指摘する。事実、話題となったWannaCryで利用された「EternalBlue」と呼ばれるエクスプロイトは各種マルウェアで利用され、「ExPetr(エクスペトラ)」と呼ばれるランサムウェアでも“活用”された。そもそものWindowsの脆弱性、MS17-010は既に2017年3月にパッチが提供済みであるにもかかわらずだ。
ここには、「パッチ管理、脆弱性管理をやっているつもりでも、実際は監査ができていない」という企業の実態が浮かび上がる。パッチを適用したかどうかではなく、脆弱性が修正されたかという観点での監査が重要だ。
「一度攻撃に使われた脆弱性の“穴”は必ず埋めるべきだ。脆弱性を見つけ、監査する、パッチを適用するというサイクルを回すためには、エンドポイント製品においてPC内に残る脆弱性を管理する仕組みを持つとともに、Kaspersky Vulnerability and Patch Managementを活用すれば、適切なパッチ適用のコントロールを行える」(関場氏)
脆弱性診断、静的/動的の欠点を埋めるのは“AI”かもしれない――テクマトリックス
脆弱性対策を行うには「診断」が有効だ。一方で、ブラックボックステストである「動的診断」は、その結果が分かりやすいが、完成されたアプリでないと診断が行えない上、診断の完了まで時間がかかる。また、仕様書やソースコードを基に行う「静的診断」は、潜在的な脆弱性を検出でき、開発中でも高速に診断することが可能だが、診断結果が多岐にわたり、それが本当に問題かどうかを精査する時間がかかってしまう。多くの現場では、開発中に繰り返し検査ができる静的診断に注目が集まっているが、結果の判断や精査が難しいということが大きな課題となっている。
テクマトリックスの「Application Security on Cloud」では、静的診断で検出される多数の問題を、機械学習によって蓄積された情報を基にAI技術で精査する。これにより従来の静的診断で検出された74万件の潜在的な脆弱性を、わずか42件の修正すべきポイントにグルーピングできるという。テクマトリックスの酒井喜彦氏は「Eclipseプラグインもあり、クラウドでもオンプレでも実行が可能。攻撃をされる前に、予防策としてどこを狙われたら問題になるかをまず検査してほしい」と述べた。
侵入防御と内部の感染拡大を視野に入れた包括的なソリューションが大切――ジェイズ・コミュニケーション
サイバー攻撃は日々巧妙化、進化しており、未知の脆弱性だけではなく既知の脆弱性を狙う攻撃もいまだ後を絶たず、外部攻撃に加えて感染後の対策も考える必要がある――。ジェイズ・コミュニケーションの吉野直輝氏は、「複雑化する攻撃の実態を把握しながら、侵入防御(境界セキュリティ)と内部の感染拡大を視野に入れた包括的なソリューションが大切」と訴えた。
そんな外部・内部対策を実現するソリューションの1つに、サービスゲートウェイ「Juniper SRXシリーズ」がある。アプリケーションの可視化と制御、アンチウイルス/スパム、IPS、フィルタリング、サンドボックスなど必須機能を全て実装する同製品は、ポリシーの一括適用やSRX複数台の管理などをシンプルなGUIで提供する統合管理ツール「Junos Space Security Director」で運用可能。これらを組み合わせることで、例えば脅威レベル8以上の感染ホストは通信を遮断するというポリシーを敷き、サンドボックス機能で感染が検知された端末を隔離するまでをシームレスに実施できるという。
脆弱性情報を収集、チェックする継続的かつ効率的なソリューションがあれば――NTTテクノクロス
WannaCryやErebusなど既知の脆弱性を狙ったランサムウェア、HeartbleedやShellshockといった脆弱性が悪用された攻撃など、事業継続性を脅かすサイバー攻撃は多い。「NTTセキュリティの調査によれば2016年に検知された脆弱性のうち47%は3年以上前に公開されたもので、脆弱性情報を収集、チェックする継続的かつ効率的なソリューションがあれば防げたはず」とNTTテクノクロスの星敬一氏は述べる。
だが現代のITシステムには多数のソフトウェアが導入されており、管理自体が複雑だ。また、攻撃側は1つの脆弱性を狙えばよいところを、防御側は全ての脆弱性に対策しなければならず、十分なリソースもない。そんな攻撃側優位の状況を打破するためのソリューションに脆弱性対処支援サービス「TrustShelter/VA」がある。
同サービスはJVN/NVDの脆弱性情報提供サイトで日々自動収集した情報をベースに、社内機器/構成情報とマッチングして対処が必要な機器を抽出、ダッシュボードに表示する。未対応の端末や具体的な対処策などが確認でき、社内に潜むリスクを可視化する。
できる範囲を明確にして内製化する――ソニーデジタルネットワークアプリケーションズ
脆弱性は設計や実装の段階で設計文書やソースコードに入り込み、そのまま出荷されることでセキュリティインシデントを引き起こしている。ソニーデジタルネットワークアプリケーションズ(SDNA)の奥山謙氏はソニーで2年に一度実施している「脆弱性調査」から脆弱性の例を一部紹介しながら、次のように提言した。
「脆弱性の発見時期は検証段階、運用保守段階と後半に行くほど深刻度や作業およびコストが上がる。例えば、Mircosoftのソフトウェア開発ライフサイクルにおけるセキュリティのベストプラクティスをまとめたMicrosoft SDL(Security Development Lifecycle)などを参考に、できるだけ上流工程で対応すべき」
だが、SDL体制の構築、責任者およびリーダーの決定、基準の策定、コード検証、セキュリティアセスメント、セキュリティ診断、最終レビューなど、セキュア設計の体制作りはコストもかかる。そこで奥山氏はできる範囲を明確にして内製化することを提案。例えば、同社が提供する「Secure Coding Checker」を使って「JSSECセキュアコーディングガイド」基準に合致するか検査するなど、ツール活用で効率良く対応する方法も紹介した。
次回は、GEデジタルのセキュリティ対策事例や日本を代表するセキュリティリサーチャー3人の鼎談など
次回は、GEデジタルのセキュリティ対策事例や日本を代表するセキュリティリサーチャー3人の鼎談などを中心に、脆弱性に関する講演をお届けする。
関連記事
脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。
「日本型組織」はなぜサイバー攻撃に弱いのか
本稿では、@IT編集部が2017年2月7日に東京で開催した「@ITセキュリティセミナー」レポートをお届けする。
東京五輪からバグハントまで、多様な視点からサイバーセキュリティの“今”を探る
本稿では、@IT編集部が2016年6月23日に東京・青山ダイヤモンドホールで開催した「@ITセキュリティセミナー」レポートの第1弾をお届けする。
Copyright © ITmedia, Inc. All Rights Reserved.